Se ha reportado un nuevo aviso de seguridad sobre seis vulnerabilidades que afectan a Moodle, que permitirían a un atacante realizar ejecución remota de código (RCE), ataques del tipo cross-site scripting (XSS), entre otros.
Las vulnerabilidades reportadas se componen de 3 de severidad (crítica) y 3 de severidad (baja). Las principales se detallan a continuación:
- CVE-2022-35649 de severidad critica, sin una puntuación asignada. La vulnerabilidad se debe a un parámetro de ejecución omitido en versiones de GhostScript. Esto permitiría a un atacante remoto autenticado realizar ejecución remota de código (RCE) en el sistema.
- CVE-2022-35650 de severidad critica, sin una puntuación asignada. Esta vulnerabilidad se debe a una comprobación insuficiente de la ruta en la importación de una pregunta de lección en la plataforma. Esto permitiría a un atacante remoto exponer los archivos del sistema de forma no autorizada.
- CVE-2022-35651 de severidad critica, sin una puntuación asignada. Esta vulnerabilidad se debe a la incorrecta validación de datos del estándar SCORM. Esto permitiría a un atacante remoto realizar ataques del tipo cross-site scripting (XSS) y server-side request forgery (SSRF).
Para visualizar la lista detallada de las vulnerabilidades, ingresar a este enlace.
Los productos afectados son:
- Moodle, versiones 4.0 a 4.0.1.
- Moodle, versiones 3.11 a 3.11.7.
- Moodle, versiones 3.9 a 3.9.14.
- Moodle, versiones anteriores no soportadas.
Se recomienda actualizar a las versiones 4.0.2, 3.11.8 y 3.9.15 respectivamente, a través de los siguientes enlaces:
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-20
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35649
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35650
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35651
- https://git.moodle.org/gw?p=moodle.git&a=search&h=HEAD&st=commit&s=MDL-74473